Privacyreglement. Begripsbepalingen

Transcriptie

1 Vooraf De WBP (Wet Bescherming Persoonsgegevens) verplicht de instelling niet tot het hebben van een privacyreglement. Dat betekent niet, dat het niet verstandig is een dergelijk reglement te hebben. Onderstaand volgt een privacyreglement hoe, op basis van de wet, met persoonsgegevens moet worden omgegaan en welke rechten en plichten uit de wet voortvloeien voor betrokkenen. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben op de lichamelijke of de geestelijke gesteldheid van betrokkenen, verzameld door een beroepsbeoefenaar in het kader van zijn beroepsuitoefening. 3. Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van verzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 4. Verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van gegevens. 5. Verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens. 6. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 7. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 8. Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zij rechtstreeks gezag te zijn onderworpen (b.v. Een salarisadministratiekantoor) 9. Betrokkene: degene op wie een persoonsgegeven betrekking heeft of zijn vertegenwoordiger. 10. Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken (b.v. een arts) 11. Ontvanger: degene aan wie de persoonsgegevens worden verstrekt. 12. Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting, waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. 13. Het College bescherming persoonsgegevens: het College dat tot taak heeft toe te zien op de verwerking van persoonsgegevens. 14. Klachtencommissie: de commissie ingesteld overeenkomstig de Wet klachtrecht cliënten zorgsector. 15. Vertegenwoordiger: de ouder(s) die het ouderlijk gezag uitoefenen, dan wel de voogd van betrokkene.

2 1. Reikwijdte 2. Doel Dit reglement is van toepassing op de gehele of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, evenals de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 1. Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. 2. Dit reglement is van toepassing binnen Careyn en heeft betrekking op de in bijgaand overzicht genoemde verwerkingen van persoonsgegevens. Dit overzicht vormt een geheel met dit reglement. 3. Vertegenwoordiging 1. Indien de betrokkene jonger is dan twaalf jaar, treden de ouders, die het ouderlijk gezag uitoefenen, dan wel de voogd in plaats van de betrokkene. 2. Hetzelfde geldt voor de betrokkene die de leeftijd van twaalf tot achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake. 3. Indien de betrokkene in de leeftijdscategorie van twaalf tot zestien valt en in staat is tot een redelijke waardering van zijn belangen, treden naast de betrokkene zelf diens ouders of voogd op. 4. Een betrokkene van zestien jaar en ouder die in staat is tot een redelijke waardering van zijn belangen is geheel handelingsbekwaam en hoeft zich niet te laten vertegenwoordigen. 5. Indien de betrokkene ouder is dan achttien jaar en niet in staat kan worden geacht tot een redelijke waardering van zijn belangen ter zake, treedt in volgorde als hier weergegeven, als vertegenwoordiger voor hem op: a. indien betrokkene onder curatele staat of ten behoeve van hem het mentorschap is ingesteld; de curator of mentor b. indien de betrokkene deze schriftelijk heeft gemachtigd, de persoonlijk gemachtigde c. indien de persoonlijk gemachtigde ontbreekt of niet optreedt; de echtgenoot of andere levensgezel van de betrokkene d. indien deze persoon dit niet wenst of ontbreekt; een ouder, een kind, broer of zus van de betrokkene. 6. De persoon, die in de plaats treedt van de betrokkene, betracht de zorg van een goed vertegenwoordiger. Hij is gehouden de betrokkene zoveel mogelijk bij de vervulling van zijn taken te betrekken. 4. Voorwaarden voor rechtmatige verwerking 1. Persoonsgegevens worden in overeenstemming met dit reglement op behoorlijke en zorgvuldige wijze verwerkt; 2. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen; 3. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn;

3 5. Verwerking van persoonsgegevens (voor zover niet zijnde zorggegevens) 1. Persoonsgegevens mogen slechts worden verwerkt indien aan een van de onderstaande voorwaarden is voldaan: a. indien betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor handelingen die op verzoek van de betrokkene worden verricht en die noodzakelijk zijn voor het sluiten van een overeenkomst; c. dit noodzakelijk is om een wettelijke verplichting na te komen; d. dit noodzakelijk is ter bestrijding van ernstig gevaar voor de gezondheid van betrokkene; e. dit noodzakelijk is met het oog op belang van de verantwoordelijke of van een derde en het belang van degene van wie de gegevens worden verwerkt niet prevaleert. 6. Regels voor de verwerking van zorggegevens (bijzondere persoonsgegevens) Gegevens betreffende iemands godsdienst of levensovertuiging, ras, gezondheid, seksuele leven worden slechts verwerkt aan een van de volgende voorwaarden is voldaan: 1. De verwerking geschiedt door hulpverleners, instellingen of voorzieningen in de gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. 2. De verwerking geschiedt op verzoek van de verzekeraar zover dat noodzakelijk is voor de beoordeling van het door de verzekeringsinstelling te verzekeren risico, dan wel voor zover dat noodzakelijk is voor de uitvoering van een verzekeringsovereenkomst 3. De verwerking geschiedt met uitdrukkelijke toestemming van de betrokkene. 4. De gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht 5. Het verbod om bijzondere gegevens te verwerken is niet van toepassing voor zover dat noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid met het oog op een goede behandeling of verzorging van de betrokkene. 7. Informatieverstrekking aan de betrokkene 1. De verantwoordelijke of beheerder deelt aan de betrokkene voor het moment van verkrijging van de persoonsgegevens zijn identiteit mee en met welk doel de gegevens worden vastgelegd. 2. De verantwoordelijke maakt dit reglement openbaar en maakt op voldoende manier bekend, op welke wijze dit reglement of nadere informatie kan worden ingewonnen. 3. Indien andere doelen dan dienstverlening, zorgverlening en zorgondersteuning een doelstelling vormen van de registraties, heeft de verantwoordelijke de plicht de betrokkene vooraf, schriftelijk, gericht te informeren over: a. de aard van de gegevens die over zijn persoon in de registratie worden opgenomen; b. de doeleinden die daarmee worden nagestreefd; een en ander met inachtneming van het artikel 2 bepaalde.

4 8. Recht op inzage en afschrift van opgenomen persoonsgegevens 1. De betrokkene heeft het recht kennis te nemen van de op zijn persoon betrekking hebbende verwerkte gegevens. 2. De gevraagde inzage en/of het gevraagde afschrift zal zo spoedig mogelijk, doch uiterlijk binnen vier weken, plaatsvinden respectievelijk worden verstrekt. 3. Voor de verstrekking van een afschrift mag een redelijke vergoeding in rekening worden gebracht. 4. Recht op inzage kan worden geweigerd als het een onevenredig nadeel voor een derde met zich meebrengt. 9. Recht op aanvulling, correctie of verwijdering van opgenomen persoonsgegevens 1. De betrokkene die inzage heeft gekregen in de hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien de gegevens feitelijk onjuist zijn of niet ter zake doen, dan wel indien de gegevens in strijd met dit reglement zijn opgenomen. 2. Een verzoek als bedoeld in het eerste lid wordt schriftelijk en gemotiveerd bij de verantwoordelijke ingediend. Het verzoek bevat de aan te brengen wijzigingen. 3. De verantwoordelijke beslist niet op een verzoek dan na de beroepsbeoefenaar die de gegevens heeft verzameld of diens opvolger, te hebben gehoord. De verantwoordelijke deelt zijn beslissing binnen vier weken na ontvangst van het verzoek aan de betrokkene mee. Een weigering is met redenen omkleed. 4. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd. 5. De verantwoordelijke draagt zorg voor vernietiging van de gegevens binnen drie maanden na een daartoe strekkend verzoek van de betrokkene, tenzij: a. redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de betrokkene, alsmede; b. bewaring op grond van een wettelijk voorschrift vereist is. 6. Voor de rechterlijke beslissingen, beschikking van de burgemeester en de geneeskundige verklaringen kan een verzoek bedoelt in artikel 9.5 kan in geval van een BOPZ-opname pas worden ingediend nadat de vijf jaar bewaartermijn is verstreken. 10. Verstrekken van gegevens aan derden 1. Voor verstrekking van persoonsgegevens (incl. dossiergegevens) aan derden is de gerichte schriftelijke toestemming van de betrokkene vereist. Deze toestemming is niet vereist indien: a. verstrekking noodzakelijk is ter uitvoering van een wettelijk voorschrift; b. er sprake is van een situatie zoals beschreven in de leden 2, 3, of 4 van dit artikel. 2. Binnen de organisatie van de verantwoordelijke van de persoonsregistratie kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt aan:

5 a. degenen die rechtstreeks betrokken zijn bij de verzorging, verpleging, begeleiding en/of behandeling van de betrokkene; b. aan personen en instanties, wier taak het is de verleende zorg te controleren en toetsen. De verstrekking van persoonsgegevens in dit kader vindt slechts plaats voor zover noodzakelijk voor de taakuitoefening van genoemde personen en instanties. 3. Buiten de organisatie van de verantwoordelijke van de persoonsregistratie kunnen zonder toestemming van de betrokkene persoonsgegevens worden verstrekt, aan a. degenen die rechtstreeks betrokken zijn bij de verzorging, verpleging, begeleiding en/of behandeling en/of behandeling van de betrokkene; b. ziektekostenverzekeraar; c. gemeenten in het kader van de uitvoering van de Wet Maatschappelijke Ondersteuning. De verstrekking van persoonsgegevens in dit kader vindt slechts plaats voor zover noodzakelijk voor de taakuitoefening van genoemde personen en instanties. 4. Verstrekking van gegevens blijft achterwege voor zover uit hoofde van ambt, beroep of wettelijk voorschrift geheimhouding geboden is. 11. Bewaren van gegevens 1. Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. 2. De bewaartermijn voor medische gegevens is in beginsel vijftien jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener casu quo de verantwoordelijke voortvloeit. 3. De bewaartermijn voor de dossiergegevens van het maatschappelijk werk is in beginsel twee jaar, te rekenen vanaf het tijdstip dat de hulpverlening is beëindigd, of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener casu quo de verantwoordelijke voortvloeit. 4. De bewaartermijn voor administratieve gegevens is in beginsel zeven jaren, te rekenen vanaf het tijdstip waarop zij zijn vervaardigd, of zoveel langer als redelijkerwijs uit de zorg van een goed werkgever casu quo de verantwoordelijke voortvloeit. 5. Indien de bewaartermijn is verstreken, worden de desbetreffende persoonsgegevens uit de registratie vernietigd, zulks binnen een termijn van één jaar. Vernietiging blijft evenwel achterwege wanneer daarover tussen de betrokkene en de beroepsbeoefenaar overeenstemming bestaat. Indien de betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven. 12. Bescherming van gegevens 1. De verantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de opgenomen gegevens. 2. De verantwoordelijke draagt zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de persoonsregistratie tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

6 3. Indien de verantwoordelijke de verwerking van persoonsgegevens of een gedeelte daarvan heeft ondergebracht bij een bewerker, draagt de verantwoordelijke zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen en dat dit reglement door de bewerker wordt nageleefd. 4. De taken, rechten en verplichtingen van de bewerker worden door de verantwoordelijke schriftelijk in een overeenkomst vastgelegd. 5. De bewerker is verantwoordelijke voor het goed functioneren van de onder zijn beheer staande faciliteiten. Hij treft de noodzakelijke maatregelen met betrekking tot de beveiliging van onder andere apparatuur, programmatuur en de gegevens waarmee de persoonsregistraties worden gevoerd. De ter zake getroffen regelingen zijn bij de bewerker in te zien. 13. Klachten 1. Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of andere reden heeft tot klagen, kan hij zich wenden tot: a. verantwoordelijke b. de binnen de instelling functionerende regeling voor onafhankelijke klachtenbehandeling; c. het College bescherming persoonsgegevens en conform de WBP verzoeken een onderzoek in te stellen of de wijze van gegevensverwerking door de verantwoordelijke in overeenstemming is met de Wet bescherming persoonsgegevens; d. dan wel gebruik maken van de in hoofdstuk 8 van de WBP neergelegde beroepsmogelijkheden. 14. Wijzigingen, inwerkingtreding en inzage van dit reglement 1. Wijzigingen van dit reglement worden aangebracht door de verantwoordelijke proceseigenaar. 2. De wijzigingen in het reglement zijn van kracht vier weken nadat ze bekend zijn gemaakt aan betrokkene. 3. Dit reglement is per in werking getreden. 4. Desgewenst kan tegen kostprijs een afschrift van dit reglement worden verkregen.